Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Microsoft Indeo fix NIET via Automatische Updates?!
Ik vond het al stompzinnig dat Microsoft tijdens de afgelopen patchdinsdag een ernstige kwetsbaarheid (remote code execution o.a. door het bezoeken van een website) niet als een security update classificeert (zal wel weer met de achterlijke "wij zijn beter dan linux" strijd te maken hebben), maar wat ik veel ernstiger vind is dat deze update niet via automatic updates verspreid lijkt te worden, in elk geval niet voor PC's met XP-SP3.
Het gaat daarbij om "Update for Windows XP (KB955759), volgens Microsoft Update een High-priority update, en http://support.microsoft.com/kb/954157 zegt hier onder meer over:
Overigens is het geen echte patch, maar het ordinair uitschakelen (de-registreren) van de Indeo Codec. Desalniettemin een kennelijk noodzakelijke systeemwijziging die mogelijk op veel XP PC's niet wordt uitgevoerd terwijl de eigenaren braaf automatic updates aan hebben staan en daarmee veilig denken te zijn.
Verder staat in http://www.microsoft.com/technet/security/advisory/954157.mspx onder meer:
Hebben anderen ook gezien dat deze KB955759 oftewel KB954157 "update" (of wat het dan ook is) niet automatisch is geïnstalleerd op PC's waarop automatic updates aanstaat? Hoe zit het met andere operating systems dan XP-SP3?
Het gaat daarbij om "Update for Windows XP (KB955759), volgens Microsoft Update een High-priority update, en http://support.microsoft.com/kb/954157 zegt hier onder meer over:
Microsoft Security Advisory: Vulnerabilities in the Indeo codec could allow remote code execution: December 8, 2009
[...]
Microsoft has released a Microsoft security advisory about this issue for IT professionals. The security advisory contains additional security-related information. To view the security advisory, visit the following Microsoft Web site:
http://www.microsoft.com/technet/security/advisory/954157.mspx
Kortom, dit klinkt allemaal behoorlijk serieus. In http://www.microsoft.com/technet/security/advisory/954157.mspx waarnaar verwezen wordt is dit erg tweeslachtig:[...]
Microsoft has released a Microsoft security advisory about this issue for IT professionals. The security advisory contains additional security-related information. To view the security advisory, visit the following Microsoft Web site:
http://www.microsoft.com/technet/security/advisory/954157.mspx
Microsoft Security Advisory (954157)
Security Enhancements for the Indeo Codec
Published: December 08, 2009
Version: 1.0
[...]
The update is available through automatic updating and from the Microsoft Download Center.
Ook het US CERT (zie http://www.kb.cert.org/vuls/id/228561) meldt dat deze patch via automatic updates zou zijn verspreid. Echter, het lijkt er op (dit heb ik gezien op verschillende XP-SP3 PC's waarop automatic updates aanstaat, zie mijn vragen onderaan deze bijdrage) dat deze "patch" niet verspreid is via automatic updates.Security Enhancements for the Indeo Codec
Published: December 08, 2009
Version: 1.0
[...]
The update is available through automatic updating and from the Microsoft Download Center.
Overigens is het geen echte patch, maar het ordinair uitschakelen (de-registreren) van de Indeo Codec. Desalniettemin een kennelijk noodzakelijke systeemwijziging die mogelijk op veel XP PC's niet wordt uitgevoerd terwijl de eigenaren braaf automatic updates aan hebben staan en daarmee veilig denken te zijn.
Verder staat in http://www.microsoft.com/technet/security/advisory/954157.mspx onder meer:
Why is this update not associated with a Security Bulletin?
This update is not associated with a security bulletin because it does not remediate specific vulnerabilities, but instead provides additional defense-in-depth mitigations to bring older operating systems closer to the same level of security protection as Windows Vista and Windows 7. Customers should apply this update to mitigate the threat in common scenarios, and evaluate deregistering the Indeo codec to remove access to the codec in any scenario.
Why is Microsoft not fixing specific vulnerabilities in this update?
The Indeo codec is an older codec that is known to have several security vulnerabilities. Instead of fixing specific vulnerabilities, Microsoft is creating defense-in-depth changes that reduce the attack surface all together for known vulnerabilities, and future similar vulnerabilities.
Nou lekker dan. Dat het niet om een obscuur nauwelijks vindbaar probleem gaat blijkt uit het aantal (6) mensen die Microsoft bedankt voor het melden van kwetsbaarheden in de Indeo Codec. POC exploits zijn ondertussen beschikbaar (zie bijv. http://www.vupen.com/exploits/Microsoft_Windows_Indeo_IV32_Codec_Memory_Corruption_PoC_KB954157_3440271.php).This update is not associated with a security bulletin because it does not remediate specific vulnerabilities, but instead provides additional defense-in-depth mitigations to bring older operating systems closer to the same level of security protection as Windows Vista and Windows 7. Customers should apply this update to mitigate the threat in common scenarios, and evaluate deregistering the Indeo codec to remove access to the codec in any scenario.
Why is Microsoft not fixing specific vulnerabilities in this update?
The Indeo codec is an older codec that is known to have several security vulnerabilities. Instead of fixing specific vulnerabilities, Microsoft is creating defense-in-depth changes that reduce the attack surface all together for known vulnerabilities, and future similar vulnerabilities.
Hebben anderen ook gezien dat deze KB955759 oftewel KB954157 "update" (of wat het dan ook is) niet automatisch is geïnstalleerd op PC's waarop automatic updates aanstaat? Hoe zit het met andere operating systems dan XP-SP3?
Reacties (13)
19-12-2009, 23:54 door
Bitwiper
Overigens, als je Citrix gebruikt, kan de hier bedoelde update tot problemen leiden. In http://support.citrix.com/article/CTX123646 staat onder meer:
De vragen uit m'n eerste bijdrage blijven natuurlijk staan, want vooral thuisgebruikers (die meestal geen Citrix gebruiken) hebben deze patch mogelijk niet gekregen via automatische updates.
Symptoms
After installing the Microsoft security update 955759, the users who have installed Windows XP and the Citrix Access Gateway plug-in on the computer observe that the explorer.exe process crashes.
Cause
This issue appears to be caused by changes in the operating system made by Microsoft in the update 955759. The issue is limited to Virtual Private Network (VPN) connections initiated by using the Internet Explorer Web browser. The VPN connections started directly from the computer or by using an alternate Web browser are not affected.
Ook m.b.t. Citrix GoToMeeting worden problemen gemeld, zie http://www.fixya.com/support/t3612139-install_error_installer_could_not_locate.After installing the Microsoft security update 955759, the users who have installed Windows XP and the Citrix Access Gateway plug-in on the computer observe that the explorer.exe process crashes.
Cause
This issue appears to be caused by changes in the operating system made by Microsoft in the update 955759. The issue is limited to Virtual Private Network (VPN) connections initiated by using the Internet Explorer Web browser. The VPN connections started directly from the computer or by using an alternate Web browser are not affected.
De vragen uit m'n eerste bijdrage blijven natuurlijk staan, want vooral thuisgebruikers (die meestal geen Citrix gebruiken) hebben deze patch mogelijk niet gekregen via automatische updates.
20-12-2009, 13:50 door
Ilja. _V V
Hééj Bitwiper!: Ik heb het even voor je nagekeken & op deze (engelse zonder au) computer heb ik het, even een andere (nederlandse met au) nagekeken & die heeft het ook:
Het volume in station C heeft geen naam.
Het volumenummer is 3873-250F
Map van C:\WINDOWS
11-12-2009 00:13 8.051 KB955759.log
1 bestand(en) 8.051 bytes
Map van C:\WINDOWS\$hf_mig$
11-12-2009 00:13 <DIR> KB955759
0 bestand(en) 0 bytes
Map van C:\WINDOWS\$hf_mig$\KB955759\update
21-11-2009 18:03 11.111 KB955759.CAT
1 bestand(en) 11.111 bytes
Map van C:\WINDOWS\SoftwareDistribution\Download\533c8693274f245d593846953984371b\update
21-11-2009 18:03 11.111 KB955759.CAT
1 bestand(en) 11.111 bytes
Map van C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
21-11-2009 18:03 11.111 KB955759.cat
1 bestand(en) 11.111 bytes
Totaal aantal weergegeven bestanden:
4 bestand(en) 41.384 bytes
1 map(pen) 15.559.049.216 bytes beschikbaar
Net ook nog even mijn virtuele Windows 2000 nagekeken, maar die staat met een beleid op alleen waarschuwen elke woensdag om 1900uur & die heb ik een tijdje niet aan gehad, maar met een handmatige update staat het er wel bij.
Op mijn (engelse met dagelijkse au) Server 2003 staan geen van beiden vermeld, kan zijn omdat het een erg kale server is, alleen bedoeld om bestanden heen & weer te smijten tussen de andere computers...
Correctie: Op de Server 2003 word KB955759 na een handmatige update wel aangeboden...
Het volume in station C heeft geen naam.
Het volumenummer is 3873-250F
Map van C:\WINDOWS
11-12-2009 00:13 8.051 KB955759.log
1 bestand(en) 8.051 bytes
Map van C:\WINDOWS\$hf_mig$
11-12-2009 00:13 <DIR> KB955759
0 bestand(en) 0 bytes
Map van C:\WINDOWS\$hf_mig$\KB955759\update
21-11-2009 18:03 11.111 KB955759.CAT
1 bestand(en) 11.111 bytes
Map van C:\WINDOWS\SoftwareDistribution\Download\533c8693274f245d593846953984371b\update
21-11-2009 18:03 11.111 KB955759.CAT
1 bestand(en) 11.111 bytes
Map van C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
21-11-2009 18:03 11.111 KB955759.cat
1 bestand(en) 11.111 bytes
Totaal aantal weergegeven bestanden:
4 bestand(en) 41.384 bytes
1 map(pen) 15.559.049.216 bytes beschikbaar
Op mijn (engelse met dagelijkse au) Server 2003 staan geen van beiden vermeld, kan zijn omdat het een erg kale server is, alleen bedoeld om bestanden heen & weer te smijten tussen de andere computers...
Correctie: Op de Server 2003 word KB955759 na een handmatige update wel aangeboden...
20-12-2009, 16:59 door
Bitwiper
Ilja. _\\//, dank voor jouw reactie:
Met handmatig draaien van Microsoft Update wordt de patch gewoon geïnstalleerd, waar het mij om gaat is dat die handeling daar kennelijk voor nodig is....
Door Ilja. _\\//: Ik heb het even voor je nagekeken & op deze (engelse zonder au) computer heb ik het, even een andere (nederlandse met au) nagekeken & die heeft het ook:
[knip]
Op mijn (engelse met dagelijkse au) Server 2003 staan geen van beiden vermeld, kan zijn omdat het een erg kale server is, alleen bedoeld om bestanden heen & weer te smijten tussen de andere computers...
Correctie: Op de Server 2003 word KB955759 na een handmatige update wel aangeboden...
Exact, dat zag ik ook: in elk geval PC's die zijn ingesteld om te waarschuwen als er updates zijn (schildje met geel uitroepteken rechtsonderin) en die dat gedaan hebben zoals gevraagd lijken de update niet te krijgen. Pas als je daarna handmatig Microsoft Update draait (door bijv https://www.update.microsoft.com/) te bezoeken krijg je KB955759 wel aangeboden (tevens zag ik daar in veel gevallen de -optionele- Microsoft Office Genuine Advantage Notifications bij staan).[knip]
Op mijn (engelse met dagelijkse au) Server 2003 staan geen van beiden vermeld, kan zijn omdat het een erg kale server is, alleen bedoeld om bestanden heen & weer te smijten tussen de andere computers...
Correctie: Op de Server 2003 word KB955759 na een handmatige update wel aangeboden...
Met handmatig draaien van Microsoft Update wordt de patch gewoon geïnstalleerd, waar het mij om gaat is dat die handeling daar kennelijk voor nodig is....
[ Overigens is het geen echte patch, maar het ordinair uitschakelen (de-registreren) van de Indeo Codec ]
ik snap dat je teleur gesteld bent, door het niet actief verspreiden van de update/patch.
waarom is een killbit gebruiken, geen patch ?
ik snap dat je teleur gesteld bent, door het niet actief verspreiden van de update/patch.
waarom is een killbit gebruiken, geen patch ?
Ik heb automatische updates aanstaan en ik heb ook KB955759 op mijn pc staan dus schijnbaar komt hij wel automatisch binnen?
"[ Overigens is het geen echte patch, maar het ordinair uitschakelen (de-registreren) van de Indeo Codec ]"
Omdat zo de software vulnerability binnen de codec niet wordt verholpen, en enkel de codec wordt uitgeschakeld ? Dit is een mitigation measure, en geen patch om het probleem te verhelpen. Indien iemand de codec om wat voor reden weer activeert, dan is de PC weer kwestbaar. En dat is nou net niet de bedoeling van een patch die een vulnerability moet verhelpen i.p.v. verbergen.
Omdat zo de software vulnerability binnen de codec niet wordt verholpen, en enkel de codec wordt uitgeschakeld ? Dit is een mitigation measure, en geen patch om het probleem te verhelpen. Indien iemand de codec om wat voor reden weer activeert, dan is de PC weer kwestbaar. En dat is nou net niet de bedoeling van een patch die een vulnerability moet verhelpen i.p.v. verbergen.
21-12-2009, 13:13 door
Bitwiper
Door Anoniem: [ Overigens is het geen echte patch, maar het ordinair uitschakelen (de-registreren) van de Indeo Codec ]
ik snap dat je teleur gesteld bent, door het niet actief verspreiden van de update/patch.
waarom is een killbit gebruiken, geen patch ?
Dank voor jouw reactie! In dit geval gaat het niet om een killbit, maar om het radicaler uitschakelen van de Indeo codec's (die in nieuwere besturingsystemen zoals W7 al niet meer worden meegeleverd). Uit http://support.microsoft.com/kb/954157:ik snap dat je teleur gesteld bent, door het niet actief verspreiden van de update/patch.
waarom is een killbit gebruiken, geen patch ?
This security update disables some Indeo functionality by not letting Windows Internet Explorer or Windows Media Player use the codec.
Voor zover mij bekend kijkt Windows Media Player niet naar kill-bit settings (third party media players doen dat zeker niet).Ik kan me aan de ene kant voorstellen dat Microsoft wat wijfelt bij het verwijderen van functionaliteit uit oudere besturingssystemen, maar aan de andere kant hebben ze dat in het verleden al meermaals gedaan, precies zoals je zegt middels het zetten van killbits.
Belangrijk aspect hierbij is dat Microsoft (en US-CERT) zeggen dat deze patch automatisch wordt verspreid, hetgeen niet het geval lijkt te zijn.
Graag hoor ik van anderen die automatische updates gebruiken (volledig, downloaden maar niet installeren, of alleen waarschuwen waarna je op het gele schildje moet klikken voor download en installatie van de updates) of ook zij zien dat KB955759 niet automatisch is geïnstalleerd, terwijl de PC verder wel up-to-date is (te checken door het bezoeken van https://www.update.microsoft.com/). Vermeld svp ook het besturingssysteem dat je gebruikt!
21-12-2009, 16:58 door
lievenme
bij mij is die fix ook niet aangeboden...
dank u, security.nl
dank u, security.nl
21-12-2009, 18:56 door
spatieman
wat heeft het nu met security.nl te doen ?
het is een MS isue..
het is een MS isue..
Op mijn pc met XP, met automatische updates op alleen waarschuwen, ook niet aangeboden gekregen.
Bedankt voor de tip.
Bedankt voor de tip.
22-12-2009, 00:10 door
Bitwiper
Door lievenme: bij mij is die fix ook niet aangeboden...
Dank voor de reactie!Gezien het feit dat naast mij ook twee anderen zien dat deze security-patch (want iets anders kan ik het toch echt niet noemen) onder bepaalde omstandigheden niet automatisch geïnstalleerd wordt, ga ik ervan uit dat het automatische patchproces m.b.t. KB955759 op z'n minst onbetrouwbaar is.
Door Bitwiper:
Gezien het feit dat naast mij ook twee anderen zien dat deze security-patch (want iets anders kan ik het toch echt niet noemen) onder bepaalde omstandigheden niet automatisch geïnstalleerd wordt, ga ik ervan uit dat het automatische patchproces m.b.t. KB955759 op z'n minst onbetrouwbaar is.
Door lievenme: bij mij is die fix ook niet aangeboden...
Dank voor de reactie!Gezien het feit dat naast mij ook twee anderen zien dat deze security-patch (want iets anders kan ik het toch echt niet noemen) onder bepaalde omstandigheden niet automatisch geïnstalleerd wordt, ga ik ervan uit dat het automatische patchproces m.b.t. KB955759 op z'n minst onbetrouwbaar is.
Hahaha... gelukkig is het bij miljoenen anderen (waaronder mijzelf) wel goedgegaan. Ik vraag me nu af wie er niet betrouwbaar is jij of Microsoft.
23-12-2009, 13:49 door
Bitwiper
Door Anoniem:
Hahaha... gelukkig is het bij miljoenen anderen (waaronder mijzelf) wel goedgegaan. Ik vraag me nu af wie er niet betrouwbaar is jij of Microsoft.
Dan wens ik jou het allerbeste toe bij het oplossen van dit niet te onderschatten vraagstuk ;)Door Bitwiper:
Gezien het feit dat naast mij ook twee anderen zien dat deze security-patch (want iets anders kan ik het toch echt niet noemen) onder bepaalde omstandigheden niet automatisch geïnstalleerd wordt, ga ik ervan uit dat het automatische patchproces m.b.t. KB955759 op z'n minst onbetrouwbaar is.
Door lievenme: bij mij is die fix ook niet aangeboden...
Dank voor de reactie!Gezien het feit dat naast mij ook twee anderen zien dat deze security-patch (want iets anders kan ik het toch echt niet noemen) onder bepaalde omstandigheden niet automatisch geïnstalleerd wordt, ga ik ervan uit dat het automatische patchproces m.b.t. KB955759 op z'n minst onbetrouwbaar is.
Hahaha... gelukkig is het bij miljoenen anderen (waaronder mijzelf) wel goedgegaan. Ik vraag me nu af wie er niet betrouwbaar is jij of Microsoft.
Zonder gekheid, er zijn kennelijk omstandigheden die veroorzaken dat die specifieke patch niet wordt toegepast, en de "reguliere" (d.w.z. waar een MS09-nnn bulletin voor is uitgegeven) wel. Ik maak me nauwelijks zorgen om m'n eigen PC, maar m'n voorgevoel zegt me dat binnen een paar maanden aanvallers hier exploits voor gaan uitbrengen - met als uiteindelijk gevolg weer een verse lading zombie-PC's - waar we met z'n allen last van hebben. Denk aan spam, rekening plunderen ("de bank" betaalt dat, yeah right) en DDoS attacks.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
